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Method and apparatus for preventing inadmissible deviations from the runtime 
protocol of an application in a data exchange system 



Abstract: 

Method and apparatus for preventing inadmissible deviations from the runtime 
protocol of an application in a data exchange system. The data exchange system 
has, for example, a terminal T and a chip card K. For various applications (for 
example, automatic teller unit, computer access), basic functions B stored in the 
chip card K are processed in a sequence respectively defined in a protocol. 
Since the basic functions B are called in proceeding from the terminal T, the data 
integrity could be deteriorated by intentional modifications of the protocol 
sequence at the terminal T. By storing the allowable protocols in a control list 
STL and establishing a status memory area ZS on the chip card K, it becomes 
possible to monitor the protocol execution on the chip card K independently of 
the terminal T. The respective status Z of an application is fixed in the status 
memory area ZS. All basic function designations Bn permitted for a status Z are 
deposited in the control list STL. 
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© Verfahren zur Verhlnderung unzulassiger Abwelchungen vom Ablaufprotokoll einer Anwendung bei 
einem Datenaustauschsystem. 



© Ein Datenaustauschsystem umfafit beispielswei- 
se ein Terminal T und eine Chipkarte K. FOr ver- 
schiedene Anwendungen (z.B. Geldautomat, Rech- 
nerzugang) werden in der Chipkarte K gespeicherte 
Basisfunktionen B in einer jeweils in einem Protokoll 
festgelegten Reihenfolge abgearbeitet. Da die Basis- 
funktionen B vom Termial T aus aufgerufen werden, 
k5nnte durch gezielte Anderungen des Protokollab- 
laufes am Terminal T die Datensicherheit beein- 
trachtigt werden. Durch Speichern der zulassigen 



Protokolle in einer Steuerliste STL und Einrichten 
eines Zustandsspeicherbereiches ZS auf der Chip- 
karte K wird es moglich, den Protokollablauf auf der 
Chipkarte K unabhangig vom Terminal T zu kontrol- 
lieren. Der jeweilige Zustand Z einer Anwendung 
wird im Zustandsspeicherbereich ZS fixiert. In der 
Steuerliste STL sind samtliche bei einem Zustand Z 
zulSssigen Basisfunktionsbezeichnungen Bn abge- 
legt. 
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Tragbare Datentrager sind magnetische, opti- 
sche Oder sonstige physikalische Speichereigen- 
schaften nutzende Objekte. Wenn diesen Datentra- 
gern Inteltigenz in Form eines Mikroprozessors zu- 
geordnet ist, sind diese Datentrager besonders 
vielseitig verwendbar und erfullen hochste Anforde- 
rungen an die Datensicherheit. Am meisten verbrei- 
tet sind diese intelligenten Datentrager in Form von 
Chipkarten. 

Die Chipkarte ist vielseitig anwendbar, bei- 
spielsweise als bargeldloses Zahlungsmittel, als 
Personal- Oder Versicherungsausweis, als Schlus- 
sel zum Zugang zu Rechnern und fur alle sonsti- 
gen Anwendungen, bei denen die eindeutige Identi- 
fizierung eines Anwenders notwendig ist oder die 
Berechtigung eines Anwenders eine bestimmte An- 
wendung auszufOhren, nachgewiesen werden muB. 
Ist eine einzige Chipkarte fOr mehrere solche An- 
wendungen verwendbar, so spricht man von einer 
multifunktionalen Chipkarte. Auf Grund ihres physi- 
kalischen Aufbaus - neben dem Prozessor sind auf 
dem Chip ein maskenprogrammierbarer ROM- 
Speicherbereich, ein als Arbeitsspeicher dienender 
schneller RAM-Speicherbereich und ein nicht fluch- 
tiger, programmierbarer Speicherbereich 
(EEPROM-Speicherbereich) untergebracht - kon- 
nen die Chipkarten vom Kartenherausgeber durch 
entsprechende Programmierung des EEPROM- 
Speicherbereichs fUr viele Anwendungen program- 
miert werden. Bei jeder Anwendung mOssen ge- 
mSB einem vorgegebenen Protokoll einige der im 
ROM-Speicherbereich abgelegten Basisfunktionen 
auf der Chipkarte abgearbeitet werden. 

FUr jede Anwendung ist im EEPROM-Speicher- 
bereich ein Anwendungsdatenfeld eingerichtet. Auf 
in einem solchen Feld eingetragene Daten kann 
eine Basisfunktion nur zugreifen, wenn diese An- 
wendung vorher aufgerufen wurde. Im Anwen- 
dungsdatenfeld konnen Daten mit unterschiedli- 
chen Zugriffsbedingungen abgelegt sein. Es kann 
beispielsweise festgelegt sein, daB Daten nur dann 
gelesen Oder verMndert werden konnen, wenn sich 
der Chipkartenbenutzer durch eine PIN-Nummer 
(personliche Identifikationsnummer) zu erkennen 
gibt. 

Die Informationen, welche Anwendung vorliegt, 
welche Basisfunktion abgearbeitet werden soil, und 
die zur BerechtigungsprDfung erforderlichen Infor- 
mationen erhalt die Chipkarte durch Datenaus- 
tausch mit einem Terminal. Mit diesem Terminal ist 
die Chipkarte direkt durch elektrische Kontakte 
Oder indirekt Uber optische Oder induktive Koppel- 
einrichtungen verbunden. Vom Terminal aus kon- 
nen also Basisfunktionen zur Abarbeitung auf der 
Chipkarte aufgerufen werden. Die Reihenfolge, in 
der diese Basisfunktionen aufgerufen werden, wird 
demnach vom Terminal bestimmt. Da es aus si- 
cherheitstechnischen GrOnden erforderlich ist, die 



Basisfunktionen in einer bestimmten Reihenfolge 
abzuarbeiten, besteht durch eine mogliche Manipu- 
lation am Terminal, durch die die Ablaufreihenfolge 
verSndert werden konnte, oder durch die bestimm- 
5 te Basisfunktionen ausgelassen werden konnten, 
ein Sicherheitsrisiko. 

Der Erfindung Negt die Aufgabe zugrunde, bei 
einem Datenaustauschsystem der eingangs ge- 
nannten Art das sicherheitstechnische Risiko der 
w unzulassigen, durch Manipulation am Terminal her- 
beigefOhrten VerSnderung eines Ablaufprotokolls 
einer Anwendung auszuschalten. 

Diese Aufgabe wird erfindungsgemaB durch 
die im Patentanspruch 1 angegebenen Merkmale 
75 gelost. 

Durch die Speicherung der zulassigen Proto- 
kollablaufe auf dem Datentrager selbst und der 
erfindungsgemaBen Nutzung dieser Speicherung 
im Zusammenwirken mit dem Zustandsspeicherbe- 
20 reich, wird die Sicherheit des Datenaustauschsy- 
stems zusatzlich erhoht. Der Datentrager selbst 
kann Manipulationen am Terminal erkennen und 
geeignete GegenmaBnahmen einleiten. Zudem 
kann das erfindungsgemMBe Verfahren fUr beliebi- 
25 ge Anwendungen eingesetzt werden. 

Besondere Ausgestaltungen und Weiterbildun- 
gen des erfindungsgemaBen Verfahrens und einer 
Vorrichtung zur DurchfOhrung des Verfahrens sind 
in den UnteransprOchen angegeben. 
30 Im folgenden wird ein Ausfuhrungsbeispiel der 
Erfindung anhand der Zeichnungen nSher erlautert. 
Dabei zeigen 

FIG 1 eine Datenaustauschvorrichtung zur 
DurchfUhrung des erfindungsgemaBen Verfah- 
35 rens, 

FIG 2 ein Ablaufdiagramm einer Anwendung, 
FIG 3 eine Nachfolgertabelle zum Ablaufdia- 
gramm, 

FIG 4 AuszOge aus einer Steuerliste zum Ab- 
40 laufdiagramm und 

FIG 5 einen Zustandsspeicherbereich des Da- 
tentragers. 

FIG 1 zeigt ein Datenaustauschsystem, beste- 
hend aus einem vorzugsweise als Chipkarte K aus- 

45 gebildeten Datentrager und einem Terminal T. Das 
Terminal T ist ein mit einer Schnittstelle zum Da- 
tenaustausch mit einer Chipkarte K ausgestattetes 
Datenein-/ausgabegrat einer Datenverarbeitungsan- 
lage, beispielsweise ein Geldautomat, ein Konto- 

50 auszugdrucker, eine Personenidentifizierungsein- 
richtung oder auch ein entsprechend ausgerusteter 
Telefonapparat. 

Anstelle einer Chipkarte K sind auch andere 
Datentrager denkbar, die von der geometrischen 

55 Form der Chipkarte K mehr oder weniger abwei- 
chen. MaBgeblich ist lediglich, daB der Datentrager 
einen Prozessor P und einen Speicher S enthalt. 
Im AusfUhrungsbeispiel sind die Chipkarte K und 
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das Terminal T Uber elektrische Kontakte losbar 
miteinander verbunden. 

Der Speicher S der Chipkarte K ist in drei sich 
in der Speichertechnik unterscheidende Bereiche 
eingeteilt: Ein elektrisch losch- und wiederbe- 
schreibbarer Speicherteil EEPROM, ein schneller, 
als Arbeitsspeicher benutzter schreib- und lesbarer 
Speicher RAM und ein maskenprogrammierbarer 
Speicherbereich ROM. GemSG ihrer Speichereigen- 
schaften werden die drei Speicherbereiche unter- 
schiedlich genutzt. Im maskenprogrammierbaren 
Speicherbereich ROM sind vom Kartenhersteller 
die anwenderunabhSngigen, universell anwendba- 
ren Daten und Programme gespeichert Unter an- 
derem sind in diesem maskenprogrammierbaren 
Speicherbereich ROM mehrere Basisfunktionen B 
mit den Basisfunktionsbezeichnungen B1...Bn, 
Krypto-Algorithmen KA beispielsweise zur Ver- 
schlusselung der Daten beim Datenaustausch und 
ein Betriebssystem BTS der Chipkarte K eingetra- 
gen. Im schreib- und lesbaren Speicherbereich 
RAM werden solche Daten abgelegt, die wahrend 
der Dauer einer Verbindung zwischen Terminal T 
und Chipkarte K benotigt werden. Unter anderem 
sind das die EirWAusgangsdaten I/O und Daten, 
die in einem Zustandsspeicherbereich ZS abgelegt 
werden. Im elektrisch schreib- und loschbaren 
Speicherbereich EEPROM werden die vom Karten- 
herausgeber festgelegten Daten gespeichert. Die- 
ser Speicherbereich EEPROM enthalt in einem so- 
genannten Gemeinschaftsdatenfeld CDF hinterlegte 
Daten, die unabhangig von einer speziellen Anwen- 
dung verwendet werden konnen und Daten, auf die 
nur bezUglich einer Anwendung zugegriffen werden 
kann. Diese anwendungsspezifischen Daten sind in 
sogenannten Anwendungsdatenfeldern ADF abge- 
legt. Das Gemeinschaftsdatenfeld CDF und die 
Andwendungsdatenfelder ADF enthalten zusStzlich 
sogenannte Steuerlisten STL, in denen jeweils min- 
destens die Ablaufreihenfolge einer Anwendung 
festgelegt ist. Eine einem bestimmten Anwen- 
dungsdatenfeld ADF zugeordnete Steuerliste STL 
kann auch au/terhalb des Anwendungsdatenfeldes 
ADF im Gemeinschaftsdatenfeld CDF gespeichert 
werden. Dies ist immer dann sinnvoll, wenn fUr 
verschiedene Anwendungen die gleiche Ablaufrei- 
henfolge vorgeschrieben ist. Da die Steuerliste STL 
dann fur zwei oder mehrere solcher Anwendungen 
nur einmal gespeichert werden muJ3 kann Speicher- 
platz gespart werden. 

In FIG 2 ist das Ablaufdiagramm einer Anwen- 
dung dargestellt. Ausgehend von einem Anfangszu- 
stand Z1 folgt durch Abarbeitung einer vierten Ba- 
sisfunktion B4 auf den Anfangszustand Z1 ein 
zweiter Zustand Z2. Von diesem zweiten Zustand 
Z2 ausgehend, ist alternativ die Abarbeitung zweier 
Basisfunktionen B2, B3 moglich. Mit erfolgreicher 
Abarbeitung der zweiten Basisfunktion B2 kommt 



die Anwendung in einen dritten Zustand Z3 und mit 
der erfolgreichen Abarbeitung der dritten Basis- 
funktion B3 gerat die Anwendung in einen vierten 
Zustand Z4. Vom vierten Zustand Z4 ausgehend 

5 ist nur die Abarbeitung der ersten Basisfunktion B1 
erlaubt, wodurch die Anwendung in einen funften 
Zustand Z5 gerat. Von diesem fQnften Zustand Z5 
ausgehend, ist entweder die Abarbeitung der zwei- 
ten Basisfunktion B2 oder der dritten Basisfunktion 

w B3 zugelassen, wahrend die Abarbeitung der drit- 
ten Basisfunktion B3 zum vierten Zustand Z4 der 
Anwendung zuruckfuhrt, fuhrt die Abarbeitung der 
zweiten Basisfunktion B2 zu einem Endzustand Z6 
der Anwendung. Wenn, vom zweiten Zustand Z2 

75 ausgehend, die zweite Basisfunktion B2 abgearbei- 
tet wird, gerat die Anwendung in den dritten Zu- 
stand Z3. Von diesem Zustand Z3 ausgehend ist 
lediglich die Abarbeitung der funften Basisfunktion 
B5 zulassig, die zum Endzustand Z6 der Anwen- 

20 dung fQhrt. Zusatzlich ist bei jedem Zustand Z der 
Anwendung die Abarbeitung einer sechsten Basis- 
funktion B6 und einer schlietfenden Basisfunktion 
BC erlaubt. Stellvertretend fur samtliche sechsten 
Basisfunktionen B6 ist diese nur beim dritten Zu- 

25 stand Z3 der Anwendung in der FIG 2 eingezeich- 
net. Die Abarbeitung der sechsten Basisfunktion B6 
fOhrt immer wieder zu dem Zustand Z zurUck, von 
dem sie ausging. Die Abarbeitung der schlie/ten- 
den Basisfunktion BC fUhrt stets zur Beendigung 

30 der Anwendung. 

In FIG 3 ist eine Nachfolgertabelle abgebildet. 
In der ersten Spalte sind samtliche innerhalb der 
Anwendung mtfglichen ZustSnde Z mit den Num- 
mern 1 bis 6 eingetragen. In der zweiten Spalte ist 

35 zu jedem Zustand die Anzahl BA der zulassigen 
Basisfunktionen B eingetragen. Gema/3 dem Ab- 
laufdiagramm aus FIG 2 sind dies zwei Basisfunk- 
tionen B zum ersten Zustand Z1 , drei Basisfunktio- 
nen B zum zweiten Zustand Z2, zwei Basisfunktio- 

40 nen B zum dritten Zustand Z3, zwei Basisfunktio- 
nen B zum vierten Zustand Z4, drei Basisfunktio- 
nen B zum funften Zustand Z5 und zwei Basisfunk- 
tionen B zum sechsten Zustand Z6. Da das Been- 
den einer Anwendung keinen Anwendungszustand 

45 zur Folge hat, ist die bei jedem Zustand Z mogli- 
che schlieflende Basisfunktion BC in der Nachfol- 
gertabelle der FIG 3 nicht berOcksichtigt Nach der 
zweiten Spalte sind in der Tabelle mehrere Spal- 
tenpaare angegeben. Die Zahl der Spaltenpaare 

so entspricht der maximalen Anzahl BA der zulassigen 
Basisfunktionen B, die auf einen Zustand Z folgen 
konnen. Jedes Spaltenpaar besteht aus einer Spal- 
te, in der die Nummer B1...B6 der jeweils zulassi- 
gen Basisfunktion B angegeben ist und aus einer 

55 zweiten Spalte, in die die Folgezustandsbezeich- 
nung ZF, des auf den jeweiligen Zustand Z nach 
Abarbeitung einer Basisfunktion B folgenden Zu- 
standes Z1...Z6 eingetragen ist. So sind beispiels- 
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weise im zweiten Zustand Z2 drei Basisfunktionen 
B zur Abarbeitung zugelassen, nSmlich die zweite 
Basisfunktion B2, die dritte Basisfunktion B3 und 
die sechste Basisfunktion B6. Auf die zweite Basis- 
funktion B2 folgt der dritte Zustand Z3, auf die 
dritte Basisfunktion B3 folgt der vierte Zustand Z4 
und auf die sechste Basisfunktion B6 folgt der 
zweite Zustand Z2. 

Die Nachfolgertabelle gemSC FIG 3 konnte in 
dieser Form zwar abgespeichert werden; diese 
Speicherform hatte aber einen hohen Aufwand bei 
der Auswertung dieser Tabelle zur Folge. Deshalb 
wird die Nachfolgetabelle in Form einer Steuerliste 
STL, wie sie in FIG 4 angegeben ist, gespeichert 

FIG 4 zeigt ausschnittsweise eine Steuerliste 
STL, die in zwei Speicherbereiche S1 und S2 ein- 
getragen ist. Im Speicherbereich S1 sind ein Steu- 
erlistenkopf SK und ein Steuerlistenrumpf SR un- 
tergebracht und im Speicherbereich 52 ist eine 
Ausnahmenliste SA abgelegt. Der Steuerlistenkopf 
SK enthalt je einen Speicherplatz fur eine Steuerli- 
stenkopflange SKL und fUr eine Ausnahmenlisten- 
blocknummer SAN. Desweiteren enthalt der Steu- 
erlistenkopf SK nacheinander den zulassigen Zu- 
standen Z in aufsteigender Reihenfolge zugeordne- 
te Speicherplatzpaare, in die jeweils die Anzahl 
SBA der beim betreffenden Zustand Z zulassigen 
Basisfunktionen B (mit Ausnahme der Basisfunktio- 
nen B, dessen Basisfunktionsbezeichnungen Bn in 
einer Ausnahmenliste SA eingetragen sind) und ein 
Pointer SBP eingetragen sind. Dieser Pointer SBP 
zeigt auf einen Speicherplatz im Steuerlistenrumpf 
SR, an dem die zulassigen Basisfunktionen B und 
ihre Folgezustande ZF abgelegt sind. Der Steuerli- 
stenrumpf SR besteht aus Gruppen von Datentu- 
peln, wobei auf den Anfang jeder Gruppe der Poin- 
ter SBP aus dem Steuerlistenkopf SK zeigt. Ein 
solches Tupel setzt sich aus einem Speicherplatz 
fur die Bezeichnung einer Basisfunktion B und ei- 
nem Speicherplatz fUr eine Folgezustandsbezeich- 
nung ZF eines zwingend auf die im Tupel bezeich- 
nete Basisfunktion B folgenden Zustandes Z zu- 
sammen. Wie die FIG 4 zeigt, sind im Steuerlisten- 
kopf SK dem ersten Zustand Z1 eine Funktionsan- 
zahl SBA1 und ein Pointer SBP1 zugeordnet. Der 
Pointer SBP1 weist auf die dem ersten Zustand Z1 
zugeordnete Gruppe im Steuerlistenrumpf SR, die 
ein Datentupel enthalt. In die Speicherplatze dieses 
Datentupels sind die Bezeichnung der vierten Ba- 
sisfunktion B4 und die Folgezustandsbezeichnung 
ZF des auf die erfolgreiche Abarbeitung der vierten 
Basisfunktion B4 folgenden zweiten Zustandes 22 
eingetragen. Diese Eintragungen entsprechen den 
Eintragungen, die an entsprechender Stelle aus 
FIG 2 bzw. FIG 3 entnehmbar sind. 

Da zu alien Zustanden Z der Anwendung die 
Abarbeitung der sechsten Basisfunktion B6 und die 
Abarbeitung der die Anwendung beendenden 



schlieflenden Basisfunktion BC zulassig ist, ist es 
vorteilhaft, diese Basisfunktionen nicht im Steuerli- 
stenrumpf SR einzutragen. Durch die Einrichtung 
der Ausnahmenliste SA im zweiten Speicherbe- 

5 reich S2 konnen die Bezeichnungen der bei jedem 
Zustand Z zulassigen Basisfunktionen B6, BC spei- 
cherplatzsparend in eine Steuerliste STL eingefOgt 
werden. Im Steuerlistenkopf SK ist in den Spei- 
cherplatz neben der Steuerlistenkopflange SKL 

70 eine Ausnahmenlistenblocknummer SAN eingetra- 
gen. Durch diese Nummer wird die Ausnahmenliste 
SA der Anwendung zugeordnet Durch diese Art 
der Ausnahmenlistenzuordnung und gemeinsam 
mit der Speicherung der Ausnahmenliste SA im 

75 Gemeinschaftsdatenfeld CDF ist es auch moglich, 
eine Ausnahmenliste SA fGr verschiedene Anwen- 
dungen zu verwenden. 

FIG 5 zeigt eine spezielle AusfGhrung des Zu- 
standsspeicherbereiches ZS. Der Zustandsspeicher 

20 ZS enthalt Informationen zum Protokollablauf und 
zur Datenzugriffskontrolle. Zu den Informationen 
zum Protokollablauf gehoren die Blocknummer 
STB der Steuerliste STL, die Bezeichnung der zu- 
letzt erfolgreich abgearbeiteten Basisfunktion B, die 

25 im Basisfunktionsspeicherplatz BZ eingetragen ist 
und die Information tiber den aktuellen Protokollzu- 
stand Z, die im Protokollzustandsspeicherplatz Zi 
abgelegt ist. Die Speicherplatze zur Datenzugriffs- 
kontrolle umfassen einen Platz APIN fUr die Kenn- 

30 zeichnung einer erfolgreich durchgefuhrten PIN- 
Prtlfung innerhalb der Anwendung, zwei Speicher- 
platze zum Ablegen der Information, ob zwei ver- 
schiedene AuthentizitStsprufungen AUTH1, AUTH2 
erfolgreich durchgefQhrt wurden, einige Reserve- 

35 speicherplatze RES und einen Speicherplatz, in 
dem die Information eingetragen wird, ob eine glo- 
bale PIN-PrQfung GPIN erfolgreich durchgefUhrt 
wurde. 

Im folgenden wird der Ablauf des erfindungs- 

40 gemSBen Verfahrens unter Einbeziehung der oben 
beschriebenen Vorrichtung erlautert. 

Mit dem Einstecken einer Chipkarte K in das 
Terminal T wird mittels elektrischer Kontakte Oder 
gegebenenfails auch kontaktlos eine elektrische 

45 Verbindung zwischen Terminal T und Chipkarte K 
hergestellt. Diese Verbindung wirkt sowohl hinsicht- 
lich der Stromversorgung als auch bezUglich der 
Ankopplung der Ein-/Ausgabeeinrichtungen I/O des 
Terminals T und der Chipkarte K. Durch das Ein- 

50 stecken der Chipkarte K wird der gesamte Arbeits- 
speicherbereich in einen bestimmten Zustand - 
z.B. alle Bit = 0 - zuruckgesetzt. 

Das Terminal T ist in diesem Beispiel einer 
bestimmten Anwendung - beispielsweise einem 

55 Geldautomaten einer Bank - zugeordnet. Die jewei- 
lige Art der Anwendung wird der Chipkarte K in der 
Weise mitgeteilt, da/3 das Terminal T ein spezifi- 
sches Applikationskommando an die Chipkarte K 
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Gbertragt. Auf der Chipkarte K wird nun Uberpruft, 
ob auf der Chipkarte K ein Anwendungsdatenfeld 
ADF fUr diese spezielle Anwendung vorhanden ist. 
1st dieses Anwendungsdatenfeld ADF vorhanden, 
findet eine teilweise Initialisierung des Zustands- 
speicherbereichs ZS statt. Diese Initialisierung hat 
zur Folge, daJ3 die Blocknummer STB der dieser 
Anwendung zugeordneten, im Anwendungsdaten- 
feld ADF oder im Gemeinschaftsdatenfeld CDF ver- 
merkten Steuerliste STL im Zustandsspeicherbe- 
reich ZS eingetragen wird und der Protokollzu- 
standsspeicherpiatzZi, in dem der aktuelle Anwen- 
dungszustand Z eingetragen werden muB, auf den 
ersten Zustand Z1 gesetzt wird. Desweiteren wer- 
den samtliche Bit der anwendungsbezogenen Spei- 
cherplatze zurUckgesetzt (beispielsweise 0). Die Bit 
der Speicherplatze fur globale Daten bleiben un- 
verandert. 

Nach der Meldung an das Terminal T, daB der 
Initialisierungsvorgang abgeschlossen ist, erfolgt 
die Ubertragung eines Funktionskommandos vom 
Terminal T zur Chipkarte K, wobei dieses Funk- 
tionskommando, z.B. die vierte Basisfunktion B4 
bezeichnet und die notwendigen Eingangsdaten fur 
diese Basisfunktion B4 enthalt. Die Chipkarte K 
befindet sich auf Grund der Eintragung im Zu- 
standsspeicherbereich ZS im ersten Zustand Z1. 
Es wird nun im Steuerlistenkopf SK, der Steuerliste 
STL mit der im Zustandsspeicherbereich ZS einge- 
tragenen Blocknummer STB, dasjenige Datenpaar 
gelesen, das dem ersten Zustand Z1 zugeordnet 
ist. Im Speicherplatz SBA1 ist eingetragen, da/3 in 
diesem ersten Zustand Z1 nur eine Basisfunktion B 
zulassig ist. Der neben diesem Speicherplatz ein- 
getragene Pointer SBP1 zeigt auf die dem ersten 
Zustand Z1 zugeordnete Gruppe von Datentupeln. 
Dieses Tupel enthalt die Bezeichnung der vierten 
Basisfunktion B4 und die Bezeichnung des auf die 
vierte Basisfunktion B4 folgenden Zustandes Z2. 
Der Vergleich der vom Terminal T Obertragenen 
Basisfunktionsbezeichnung B4 und der Basisfunk- 
tionsbezeichnung B4, die im Datentupel des Steu- 
erlistenrumpfes SR eingetragen ist, liefert ein posi- 
tives Ergebnis. Auf Grund dieses positiven Ver- 
gleichsergebnisses wird die vierte Basisfunktion B4 
unter Verwendung der mit dem Funktionskomman- 
do Ubertragenen Eingangsparameter abgearbeitet. 
Unter der Annahme, da0 die vierte Basisfunktion 
B4 ( die fUr die PIN-PrUfung zustandige Funktion ist, 
und da/J die PIN-Nummer vor dem Funktionsaufruf 
am Terminal T richtig eingegeben wurde, liefert die 
vierte Basisfunktion B4 das Ergebnis, da/3 die PIN- 
PrUfung erfolgreiche vorgenommen wurde. Am Ba- 
sisfunktionsspeicherplatz BZ fOr die zuletzt erfolg- 
reich ausgefUhrte Basisfunktion B des Zustands- 
speicherbereiches ZS wird die Bezeichnung der 
vierten Basisfunktion B4 eingetragen. Zusatzlich 
wird an einem der Speicherplatze APIN oder GPIN, 



beispielsweise durch Setzen eines Bit, die erfolg- 
reich ausgefuhrte PIN-Prufung vermerkt. Welches 
Bit der beiden Speicherplatze gesetzt wird hangt 
davon ab, ob mit dem gleichen Terminal T mehre- 

5 re Anwendungen realisierbar sind und davon, ob 
fur alle Anwendungen, fur die die Chipkarte K 
zugelassen ist, die gleiche PIN-Nummer erforder- 
lich ist. Da im beschriebenen Fall das Terminal T 
ausschlie/Jlich dem Geldautomaten zugeordnet ist 

to und damit nur eine Anwendung mit diesem Termi- 
nal T durchgefUhrt werden kann, wird der Speicher- 
platz APIN im Zustandsspeicherbereich ZS auf 1 
gesetzt. 

Der Zustand Z der Anwendung wird dadurch in 

75 den zweiten Zustand Z2 Ubergefuhrt, da/J der im 
Datentupel im Steuerlistenrumpf SR neben der Ba- 
sisfunktionsbezeichnung B4 in Form einer definier- 
ten Bitfolge eingetragene Zustand Z2 in den Proto- 
kollzustandsspeicherpiatz Zi des Zustandsspeicher- 

20 bereichs ZS eingetragen wird. 

Nachdem ein Antwortsignal, das dem Terminal 
T die erfolgreiche Abarbeitung der vierten Basis- 
funktion B4 signalisiert, von der Chipkarte K zum 
Terminal T ubertragen wurde, ist der erste Vorgang 

25 abgeschlossen. Die Chipkarte K ist wieder bereit, 
eine Information hier in Form eines Funktionskom- 
mandos, zu empfangen. 

Das Terminal T Ubertragt nun ein zweites 
Funktionskommando zur Chipkarte K. Dieses Funk- 

30 tionskommando bezeichnet die dritte Basisfunktion 
B3 und beinhaltet die Eingangsparameter dieser 
Basisfunktion B3. Im Steuerlistenkopf SK wird das 
jeweilige Datenpaar gelesen, das dem zweiten Zu- 
stand Z2 zugeordnet ist. Im Speicherplatz SBA2, 

35 der die Anzahl der zulassigen Basisfunktionen B 
angibt steht die Zahl zwei. Der zugehorige Pointer 
SBP2 zeigt auf den ersten Speicherplatz, der dem 
zweiten Zustand Z2 zugeordneten Gruppe von Da- 
tentupeln im Steuerlistenrumpf SR. 

40 Die in dieser Gruppe eingetragenen Basisfunk- 
tionsbezeichnungen B2, B3 werden mit der Basis- 
funktionsbezeichnung B3, die mit dem Funktions- 
kommando zur Chipkarte K Ubertragen wurde, ver- 
glichen. Der Vergleich fallt positiv aus. Nach erfolg- 

45 reicher Abarbeitung der dritten Basisfunktion B3 
wird die Anwendung der Chipkarte K in den Zu- 
stand Z4 versetzt. Unter der Annahme, da/3 im 
Zuge der Abarbeitung der Basisfunktion B3 auf im 
Anwendungsdatenfeld ADF abgelegte Daten zuge- 

50 griffen werden mufl und dieser Zugriff nur zulassig 
ist, wenn vorher eine PIN-PrUfung erfolgreich 
durchgefUhrt wurde, werden vor Beginn der Abar- 
beitung der dritten Basisfunktion B3 die PIN-Spei- 
cherplatze APIN, GPIN im Zustandsspeicherbe- 

55 reich ZS gelesen. Nur wenn eines der beiden Bit 
auf 1 gesetzt ist, wird die dritte Basisfunktion B3 
abgearbeitet. Ist diese Abarbeitung beendet, wird in 
den Basisfunktionsspeicherplatz BZ des Zustands- 
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speicherbereichs 2S die Bezeichnung der dritten 
Basisfunktion B3 eingetragen und im Protokollzu- 
standsspeicherplatz Zi der vierte Zustand Z4 ein- 
getragen. ZusStzlich wird ein Antwortsignal zum 
Terminal T Ubertragen. 

Mit dem nachsten Funktionskommando wird 
die sechste Basisfunktion B6 angefordert und die 
notwendigen Eingangsparameter zur Chipkarte K 
Ubertragen. Im Steuerlistenkopf SK wird das dem 
vierten Zustand Z4 zugeordnete Datenpaar gele- 
sen. Im Speicherplatz fur die Funktionsanzahl 
SBA4 ist eine 1 eingetragen. Der Pointer SBP4 
zeigt im Steuerlistenrumpf SR auf das dem vierten 
Zustand Z4 zugeordnete Datentupel. In diesem Da- 
tentupel stent die Basisfunktionsbezeichnung B1 
der ersten Basisfunktion B und der entsprechende 
fGnfte Folgezustand Z5. Ein Vergleich der Basis- 
funktionsbezeichnung B1 im Steuerlistenrumpf SR 
und der zur Chipkarte K Ubertragenen Basisfunk- 
tionsbezeichnung B6 liefert ein negatives Ergebnis. 
Daraufhin wird im Steuerlistenkopf SK die Ausnah- 
menlistenblocknummer SAN gelesen. Die in der 
Ausnahmenliste SA eingetragenen Basisfunktions- 
bezeichnungen B6, BC werden nun mit der zur 
Chipkarte K hin Ubertragenen Basisfunktionsbe- 
zeichnung B6 verg lichen. Auf Grund des positiven 
Vergleichsergebnisses und unter der Vorausset- 
zung, daJ3 eventuelle Datenzugriffsbedingungen er- 
fOllt sind, wird die sechste Basisfunktion B6 abge- 
arbeitet. Trotz erfolgreicher Abarbeitung wird die 
Basisfunktionsbezeichnung B6 der sechsten Basis- 
funktion B nicht im Basisfunktionsspeicherplatz BZ 
des Zustandsspeicherbereichs ZS eingetragen. Die 
Eintragung im Protokollzustandsspeicherplatz Zi 
bleibt ebenfalls unverandert. Auch jetzt erfolgt die 
Ubertragung eines Antwortsignals zum Terminal T. 

Fur den Fall, da/J sich die Anwendung nach 
Abarbeitung der dritten Basisfunktion B3 im vierten 
Zustand Z4 befindet und vom Terminal T nochmals 
die dritte Basisfunktion B3 aufgerufen wird, liefem 
samtliche Vergleiche im Steuerlistenrumpf SR und 
in der Ausnahmenliste SA ein negatives Ergebnis. 
In diesem Fall findet ein weiterer Vergleich statt. 
Die zur Chipkarte K ubertragene Basisfunktionsbe- 
zeichnung B3 der dritten Basisfunktion B wird mit 
der im Zustandsspeicherbereich ZS im Basisfunk- 
tionsspeicherplatz BZ eingetragenen Basisfunk- 
tionsbezeichnung B3 verglichen. Dieser Vergleich 
liefert ein positives Ergebnis, wodurch die Abarbei- 
tung der dritten Basisfunktion B3 zugelassen wird. 
Damit ist eine Wiederholbarkeit von Basisfunktio- 
nen B gewahrleistet. 

In entsprechender Weise werden die nachfol- 
gend aufgerufenen Basisfunktionen B der Anwen- 
dungen behandelt, bis vom Terminal T die schlie- 
0ende Basisfunktion BC aufgerufen wird, die die 
Anwendung beendet. Die schlie/tende Basisfunktion 
BC kann nach Abarbeitung jeder beliebigen Basis- 



funktion B aufgerufen werden, da die Basisfunk- 
tionsbezeichnung BC in der Ausnahmenliste SA 
enthalten ist. Fur den Fall, da/J keine Ausnahmenli- 
ste SA existiert, muJ3 der Prozessor P fur den Fall, 
5 clad samtliche vorgenommenen Vergleiche negati- 
ves Ergebnis geliefert haben, Uberprufen, ob die 
vom Terminal T aufgerufene Basisfunktion B die 
schlie/tende Basisfunktion BC ist. Auf diese Weise 
kann sichergestellt werden, da/3 auch bei nicht vor- 

70 handener Ausnahmenliste SA die schlie/tende Ba- 
sisfunktion BC jederzeit aufrufbar ist. 

Fuhrt keine der Vergleichsmoglichkeiten zu ei- 
nem positiven Ergebnis, dann wird dies dem Ter- 
minal T in Form einer selektiven Fehlermeldung 

75 mitgeteilt Aus dieser selektiven Fehlermeldung 
geht beispielsweise hervor, datf der Grund fGr die 
ZurUckweisung die Nichtzulassigkeit der Abarbei- 
tung der Basisfunktion B im vorliegenden Anwen- 
dungszustand Z ist. Andere selektive Fehlermel- 

20 dungen konnen beispielsweise anzeigen, da/3 die 
PIN-Nummer falsch eingegeben wurde Oder eine 
PIN-PrUfung noch nicht stattgefunden hat. 

In den meisten Fallen wird es genugen, mit 
einem Terminal T nur eine Anwendung auszufuh- 

25 ren. In diesen Fallen genUgt es, wenn erst nach 
Beendigung oder Abbruch einer vorher aktivierten 
Anwendung eine weitere Anwendung aufgerufen 
werden kann. LaJ3t man aber an einem Terminal T 
mehrere Anwendungen zu, dann kann es sinnvoll 

30 sein, diese Anwendungen auch ineinander ver- 
schachtelt aufzurufen. In diesen Fallen ist es dann 
moglich, nach der Ubermittlung eines Antwortsi- 
gnals von der Chipkarte K zum Terminal T, ein 
Applikationskommando noch vor Beendigung einer 

35 Anwendung zur Chipkarte K zu Ubertragen. Wenn 
ein Applikationskommando vor Beendigung einer 
Anwendung die Chipkarte K erreicht, wird der Inhalt 
des Zustandsspeicherbereichs ZS und eine Kenn- 
zeichnung, die die gegenwartig laufende Anwen- 

40 dung eindeutig benennt, in einem Hilfsspeicher ab- 
gelegt. Dieser Hilfsspeicher kann beispielsweise im 
Gemeinschaftsdatenfeld CDF eingerichtet sein. 
Nach Sicherung dieser Daten im Hilfsspeicher wird 
die teilweise Initialisierung des Zustandsspeicher- 

45 bereichs ZS vorgenommen. Die mit dem Applika- 
tionskommando bezeichnete eingeschobene An- 
wendung kann in oben beschriebener Weise bear- 
beitet werden. Nach Beendigung der eingeschobe- 
nen Anwendung werden die im Hilfsspeicher abge- 

50 legten Daten der unterbrochenen Anwendung wie- 
der an ihre ursprUnglichen Speicherstellen zuruck- 
transferiert. Der Ablaut der vorher unterbrochenen 
Anwendung kann fortgesetzt werden. 

55 Patentanspruche 

1. Verfahren zur Verhinderung unzulassiger Ab- 
weichungen vom Ablaufprotokoll einer Anwen- 
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dung bei einem Datenaustausch system, das 
mindestens aus einem Terminal (T) und min- 
destens einem tragbaren, mindestens einen 
Prozessor (P) und mindestens einen Speicher 
(S) enthaltenden, wenigstens fur eine Anwen- s 
dung nutzbaren Datentrager (K) besteht, mit 
folgenden Merkmalen: 

a) zum Datenaustausch wird der Datentra- 
ger (K) mit dem Terminal (T) verbunden, 
wodurch ein im Speicher (S) des Datentra- 10 
gers vorhandener Zustandsspeicherbereich 
(ZS) in einen Grundzustand versetzt wird, 

b) das Terminal (T) ubermittelt an den Da- 
tentrager (K) ein Applikationskommarido, 

das eine dem Terminal (T) zugeordnete An- 75 
wendung bezeichnet, 

c) das Terminal (T) Ubermittelt an den Da- 
tentrager (K) ein Funktionskommando, das 
mindestens eine Basisfunktionsbezeichnung 

(Bk) einer Basisfunktion (B) enthalt, die als 20 
nachste ausgefuhrt werden soli, 

d) diese Basisfunktionsbezeichnung (Bk) 
wird im Datentrager (K) mit im Speicher (S) 
des DatentrMgers (K) bezuglich der vorher 
bezeichneten Anwendung gespeicherten 25 
Basisfunktionsbezeichnungen (Bn) vergli- 
chen, die im vorliegenden, durch eine Ein- 
tragung im Zustandsspeicherbereich (ZS) fi- 
xierten, Protokollzustand zulassig sind, 

e) nur bei positivem Vergleichsergebnis 30 
wird die der zum Datentrager (K) Qbermittel- 

ten Basisfunktionsbezeichnung (Bk) zuge- 
ordnete Basisfunktion (B) im DatentrSger (K) 
ausgefOhrt, 

f) nach erfolgreicher Basisfunktion sausftih- 35 
rung 

f1) werden die im Zustandsspeicherbe- 
reich (ZS) abgelegten Daten dem neuen 
Protokollzustand angepa/3t, 
f2) wird vom Datentrager (K) zum Termi- 40 
nal (T) ein Antwortsignal Obertragen, 

g) bis der Ablauf der Anwendung beendet 
ist oder abgebrochen wird, wird vom Termi- 
nal (T), nach der Obertragung eines Ant- 
wortsignals vom Datentrager (K) zum Termi- 45 
nal (T), durch Ubermittelung eines Funk- 
tionskommandos an den Datentrager (K) die 
nachste auszufuhrende Basisfunktion (B) 
aufgerufen. 

50 

Verfahren nach Anspruch 1 , dadurch gekenn- 
zeichnet, da/3 durch die Ubermittlung des 
Applikationskommandos vom Terminal (T) zum 
Datentrager (K) eine teilweise Initialisierung 
des Zustandsspeicherbereichs (ZS) ausgelost 55 
wird. 

Verfahren nach mindestens einem der vorher- 



gehenden Anspruche, dadurch gekennzeich- 
net, da/3 die Ubermittlung des Applikations- 
kommandos vom Terminal (T) zum Datentra- 
ger (K) die Eintragung einer Blocknummer 
(STB) im Zustandsspeicherbereich (ZS) be- 
wirkt und da/3 diese Blocknummer (STB) den 
Piatz im Speicher (S) des Datentragers (K) 
bezeichnet, an dem die bei der mit dem Appli- 
kationskommando bezeichneten Anwendung 
im jeweils vorliegenden Protokollzustand (Z) 
zulassigen Basisfunktionsbezeichnungen (Bn) 
abgelegt sind. 

4. Verfahren nach mindestens einem der vorher- 
gehenden Anspruche, dadurch gekennzeich- 
net, da/3 die Obertragung einer Information 
vom Terminal (T) zum Datentrager (K) nur 
dann erfolgen kann, wenn vorher ein Antwortsi- 
gnal vom Datentrager (K) zum Terminal (T) 
Ubermittelt wurde. 

5. Verfahren nach mindestens einem der vorher- 
gehenden Anspruche, dadurch gekennzeich- 
net, da/3 durch Ubermittlung eines Applika- 
tionskommandos vom Terminal (T) zum Daten- 
trager (K) erst nach Beendigung oder Abbruch 
einer vorher aktivierten Anwendung eine weite- 
re Anwendung aufgerufen werden kann. 

6. Verfahren nach mindestens einem der Anspru- 
che 1 bis 4, dadurch gekennzeichnet, da/3 
bet Ubermittlung eines Applikationskomman- 
dos vor Beendigung einer Anwendung minde- 
stens der Inhalt des Zustandsspeicherbereichs 
(ZS) in einem Hilfsspeicher abgelegt wird, daj3 
danach die teilweise Initialisierung des Zu- 
standsspeicherbereichs (ZS) erfolgt und da/3 
nach erfolgter Initialisierung die mit dem Appli- 
kationskommando bezeichnete eingeschobene 
Anwendung bearbeitet wird. 

7. Verfahren nach Anspruch 6, 

dadurch gekennzeichnet, da/3 nach Beendi- 
gung der eingeschobenen Anwendung die im 
Hilfsspeicher abgelegten, der unterbrochenen 
Anwendung zugeordneten Daten wieder an 
ihre ursprUnglichen Speicherstellen zurUck- 
transferiert werden und da/3 der Ablauf der 
unterbrochenen Anwendung fortgesetzt wird. 

8. Verfahren nach einem der vorhergehenden An- 
spruche, dadurch gekennzeichnet, da/3 zu- 
satzlich zur Basisfunktionsbezeichnung (Bk) im 
Funktionskommando enthaltene Basisfunk- 
tionseingangsparameter an den Datentrager 
(K) Ubermittelt werden. 

9. Verfahren nach mindestens einem der AnsprU- 
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che 3 bis 8, dadurch gekennzeichnet, da/3 
nach Erhalt eines Funktionskommandos Uber- 
prUft wird, ob eine Biocknummer (STB) inn 
Zustandsspeicherbereich (ZS) eingetragen ist. 

10. Verfahren nach einem der vorhergehenden An- 
sprUche, dadurch gekennzeichnet, da/3 ein 
erster Speicherbereich (S1) des Speichers (S) 
daraufhin UberprUft wird, ob eine Eintragung 
zum vorliegenden Protokoilzustand (Z) der mit 
dem Applikationskommando bezeichneten An- 
wendung in diesem ersten Speicherbereich 
(S1) vorhanden ist. 

11. Verfahren nach Anspruch 10, dadurch ge- 
kennzeichnet, da/3 im Fade einer vorhande- 
nen Eintragung zum vorliegenden Protokoilzu- 
stand (Z) die bezQglich dieses Protokollzustan- 
des (Z) im ersten Speicherbereich (S1) gespei- 
cherten Basisfunktionsbezeichnungen (Bn) mit 
der, mit dem Funktionskommando zum Daten- 
trager (K) Ubermittelten Funktionsbezeichnung 
(Bk) verglichen werden. 

12. Verfahren nach mindestens einem der AnsprU- 
che 10 oder 11, dadurch gekennzeichnet, 
dafl im Falle einer fehlenden Eintragung zum 
vorliegenden Protokoilzustand (Z) bzw. einer 
NichtUbereinstimmung der Ubermittelten und 
der gespeicherten Basisfunktionsbezeichnun- 
gen (Bk.Bn) im ersten Speicherbereich (S1) in 
einem zweiten Speicherbereich (S2) des Spei- 
chers (S) UberprUft wird, ob die zum DatentrM- 
ger (K) Obermittelte Basisfunktionsbezeichnung 
(Bk) in diesem zweiten Speicherbereich (S2) 
bezQglich der mit dem Applikationskommando 
bezeichneten Anwendung, unabhangig vom 
vorliegenden Protokoilzustand (Z) eingetragen 
ist. 

13. Verfahren nach mindestens einem der vorher- 
gehenden AnsprUche 10 bis 12, dadurch ge- 
kennzeichnet, da/3 im Falle einer fehlenden 
Eintragung zum vorliegenden Protokoilzustand 
Z bzw. einer NichtUbereinstimmung der Uber- 
mittelten und der gespeicherten Basisfunk- 
tionsbezeichnung (Bk, Bn) sowohl im ersten 
Speicherbereich (S1) als auch im zweiten 
Speicherbereich <S2) UberprUft wird, ob die 
Ubermittelte Basisfunktionsbezeichnung(Bk) die 
Basisfunktionsbezeichnung (BC) fUr die schlie- 
Cende Basisfunktion (B) ist. 

14. Verfahren nach mindestens einem der vorher- 
gehenden AnsprOche, dadurch gekennzeich- 
net, da/3 nach erfolgreicher AusfUhrung einer 
Basisfunktion (B) die Bezeichnung dieser Ba- 
sisfunktion (B) in einem Basisfunktionsspei- 



cherplatz (BZ) des Zustandsspeicherbereichs 
(ZS) eingetragen wird. 

15. Verfahren nach mindestens einem der Anspru- 
5 che 10 bis 14, dadurch gekennzeichnet, da/3 

bei NichtUbereinstimmung der zum Datentra- 
ger (K) Ubermittelten Basisfunktionsbezeich- 
nung (Bk) mit den entsprechenden Eintragun- 
gen im Speicher (S) diese Ubermittelte Basis- 
w funktionsbezeichnung (Bk) mit der im Basis- 

funktionsspeicherplatz (BZ) des Zustandsspei- 
cherbereichs (ZS) vermerkten Bezeichnung 
der zuletzt erfolgreich ausgefUhrten Basisfunk- 
tion (B) verglichen wird. 

75 

16. Verfahren nach mindestens einem der vorher- 
gehenden AnsprUche, dadurch gekennzeich- 
net, da/3 zu einer BasisfunktionsausfUhrung 
eventuell erforderliche, im Zustandsspeicher- 

20 bereich (ZS) abgelegte Zugriffsrechte auf Da- 
ten im Datentrager (K) UberprUft werden. 

17. Verfahren nach mindestens einem der AnsprU- 
che 10 bis 16, dadurch gekennzeichnet, da/3 

25 eine im ersten Speicherbereich (S1) in Verbin- 
dung mit einer gespeicherten Basisfunktions- 
bezeichnung (Bn) abgelegte Folgezustandsbe- 
zeichnung (ZF), nach erfolgreicher AusfUhrung 
dieser der gespeicherten Basisfunktionsbe- 

30 zeichnung (Bn) zugeordneten Basisfunktion 

(B), im Protokoilzustandsspeicherplatz (Zi) des 
Zustandsspeicherbereichs (ZS) eingetragen 
wird. 

35 18. Verfahren nach mindestens einem der vorher- 
gehenden AnsprOche, dadurch gekennzeich- 
net, daJ3 nach erfolgreicher Basisfunktionsaus- 
fUhrung zur Anpassung an den neuen Proto- 
koilzustand (Z) Informationen zum Protokollab- 

40 lauf und/oder zur Datenzugriffskontrolle im Zu- 

standsspeicherbereich (ZS) eingetragen wer- 
den. 

19. Verfahren nach Anspruch 18, dadurch ge- 
45 kennzelchnet, dafl die Informationen zur Da- 

tenzugriffskontrolle getrennt nach anwendungs- 
bezogenen und globalen Daten im Zustands- 
speicherbereich (ZS) eingetragen werden. 

50 20. Verfahren nach mindestens einem der vorher- 
gehenden AnsprUche, dadurch gekennzeich- 
net, da/3 bei negativem Vergleichsergebnis 
eine selektive Fehlermeidung vom Datentrager 
(K) zum Terminal (T) Ubermittelt wird. 

55 

21. Vorrichtung zur DurchfUhrung des Verfahrens 
nach mindestens einem der AnsprUche 1 bis 
20, bei der der Speicher (S) in einen gemein- 
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schaftliche und anwendungsbezogene Daten 
enthaltenden Datenspeicher (EEPROM), einen 
auch eine EirWAusgangsschnittstelle (I/O) be- 
dienenden Arbeitsspeicher (RAM) und einen 
ein Betriebssystem (BTS) und mehrere Basis- 5 
funktionen (B) enthaltenden Maskenspeicher 
(ROM) eingeteilt ist, dadurch gekennzeich- 
net, daB der Datenspeicher (EEPROM) fur 
jede mSgliche Anwendung eine die Zulassigen 
Protokollablaufe enthaltende Steuerliste (STL) w 
enthalt und da/i im Arbeitsspeicher (RAM) der 
die jeweiligen Protokolizustande (Z) aufneh- 
mende Zustandsspeicher (ZS) enthalten ist. 

22. Vorrichtung nach Anspruch 21, dadurch ge- 75 
kennzeichnet, da/3 die Steuerliste (STL) in 
einen Steuerlistenkopf (SK) und einen Steuerli- 
stenrumpf (SR) aufgeteilt ist. 

23. Vorrichtung nach Anspruch 22, dadurch ge- 20 
kennzeichnet, da£ im Steuerlistenkopf (SK) 
linear nacheinander die Steuerlistenkopflange 
(SKL) und fur jeden bei der Anwendung mogli- 
chen Zustand (Z), beginnend mit dem ersten 
Zustand (Z1) ein Datenpaar gespeichert ist, 25 
das aus einer die beim jeweiligen Zustand (Z) 
ausfGhrbare Basisfunktionsanzahl (SB A) ange- 
benden Information und aus einem auf eine 
Speichersteile im Steuerlistenrumpf (SR) wei- 
senden Pointer (SBP) besteht. 30 

24. Vorrichtung nach mindestens einem der An- 
spruche 22 oder 23, dadurch gekennzeich- 
net, da/3 der Steuerlistenrumpf (SR) wenig- 
stens aus einer, aus jeweils mindestens einem 35 
Datentupel bestehenden, jeweils einem Zu- 
stand (Z) Zugeordneten Gruppe besteht und 

da/3 die Datentupel jeweils aus einer gespei- 
cherten Basisfunktionsbezeichnung (Bn) und 
einer Folgezustandsbezeichnung (ZF) beste- 40 
hen, 

25. Vorrichtung nach mindestens einem der An- 
spruche 23 oder 24, dadurch gekennzeich- 

net, da/3 der einem bestimmten Zustand (Z) 45 
zugeordnete Pointer (SBP) jeweils auf den Be- 
ginn einer dem gleichen Zustand (Z) Zugeord- 
neten Gruppe im Steuerlistenrumpf (SR) zeigt 

26. Vorrichtung nach mindestens einem der An- 50 
spruche 21 bis 25, dadurch gekennzeichnet, 

da/i einer Steuerliste (STL) eine Ausnahmenli- 
ste (SA) zugeordnet ist. 

27. Vorrichtung nach Anspruch 26, dadurch ge- 55 
kennzeichnet, da/3 im Steuerlistenkopf (SK) 
unmittelbar nach der Steuerlistenkopflange 
(SKL) eine Ausnahmenlistenblocknummer 



(SAN) eingetragen ist, die direkt oder indirekt 
den Speicherplatz angibt, an dem die Ausnah- 
menliste (SA) gespeichert ist. 

28. Vorrichtung nach mindestens einem der An- 
spruche 26 oder 27, dadurch gekennzeich- 
net, da/3 in der Ausnahmeniiste (SA) nachein- 
ander die Basisfunktionsbezeichnungen (Bn) 
der Basisfunktionen (B) angegeben sind, die 
unabhangig vom vorliegenden Protokollzustand 
jederzeit ausfuhrbar sind. 

29. Vorrichtung nach mindestens einem der vor- 
hergehenden Anspruche 21 bis 28, dadurch 
gekennzeichnet, da/3 im Zustandsspeicherbe- 
reich (ZS) Speicherplatze fOr bestimmte Infor- 
mationen zum Protokollablauf und/oder zur Da- 
tenzugriffskontrolle vorhanden sind. 

30. Vorrichtung nach Anspruch 29, dadurch ge- 
kennzeichnet, daJ3 im Zustandsspeicherbe- 
reich (ZS) zum Protokollablauf je ein Speicher- 
platz fur die Blocknummer (STB) der der vor- 
liegenden Anwendung zugeordneten Steuerli- 
ste (STL), ein Basisfunktionsspeicherplatz (BZ) 
fur die Basisfunktionsbezeichnung (Bk) der zu- 
letzt erfolgreich ausgefUhrten Basisfunktion (B) 
und ein Protokollzustandsspeicherplatz (Zi) fur 
den Protokollzustand (Z) nach der zuletzt er- 
folgreich ausgefuhrten Basisfunktion (B) vor- 
handen ist. 

31. Vorrichtung nach mindestens einem der vor- 
hergehenden AnsprQche 29 oder 30, dadurch 
gekennzeichnet, da/3 die im Zustandsspei- 
cherbereich (ZS) vorhandenen Speicherplatze 
zur Datenzugriffskontrolle in globale und in an- 
wendungsbezogene Speicherplatze aufgeteilt 
sind. 

32. Vorrichtung nach Anspruch 31, dadurch ge- 
kennzeichnet, 6aB je ein Speicherplatz fur 
das anwendungsbezogene Speichern einer 
durchgefUhrten PIN-PrUfung (PIN) fur einige 
sich voneinander unterscheidende durchge- 
fuhrte Authentizitatsprufungen (AUTH1.AUTH2) 
und ein globaler Speicherplatz fur das Spei- 
chern einer durchgefUhrten PIN-Prufung 
(GPIN) vorhanden sind. 



9 



EP 0 466 969 A1 



FIG1 





10 



EP 0 466 969 A1 



FIG 3 



z 


BA 


B 


ZF 


B 


ZF 


B 


ZF 


1 


2 


BJ, 


Z2 


B6 


Z1 






2 


3 


B2 


Z3 


B3 


1L 


B6 


Z2 


3 


2 


B5 


Z6 


B6 


Z3 






L 


2 


B1 


Z5 


B6 


11 






5 


3 


B2 


Z6 


B3 


Z4 


B6 


Z5 


6 


2 


B6 


Z6 











FIGA(j= 




FIG 5 



STB 


BZ 


Zi 


APIN 


AUTH1 


AUTH2 


RES 


GPIN 



ZS 



11 



J) 



Europaisches 
Patentamt 



EUROPAISCHER 
RECHERCHENBERICHT 



Nummer der Anmeldung 
EP 90 11 3990 



EINSCHLAGIGE DOKUMENTE 



Kategorie 



Kennzalchnung des Dokuments mlt Angabe, so welt erf order) I ch, 
der madgebiichen Telle 



Betrlffi 
Anspruch 



KLASSIRK ATI ON DER 
ANMELDUNG (Int. CI.5) 



DE-A-3 736 190 (HITACHI) 

* Zusammenfassung; AnsprGche ; Figuren ' 



EP-A-0 190 733 (TOSHIBA) 

* Zusammenfassung; Figuren * * Seite 4, Zeile 23 - Seite 8, 
Zeile 13; AnsprGche * 

WO-A-8 707 062 (AMERICAN TELEPHONE AND TELE- 
GRAPH) 

* AnsprGche ; Figuren 1-6, 8 * 

EP-A-0 159 651 (OMRON TATEISI ELECTRONICS) 

* Zusammenfassung; AnsprGche ; Figuren * 



1-3, 

10-13,20, 
21,29-32 

1.21 



1,21,32 



G 07 F 7/10 



1,21 



RECHERCHIERTE 
SACHGEBIETE (Int. CI.5) 



Der vorllegende Recherchenberlcht wurde fur alio Paten tansprUche erstelit 



G07F 
G 06 K 



Recherchenort 

Den Haag 



Abschlul datum der Recherche 

04 April 91 



Priif 



DAVID 



KATEGORIE DER GENANNTEN DOKUMENTE 
X : von besonderer Bedeutung alleln betrachtet 
Y : von besonderer Bedeutung tn Verblndung mlt elner 

anderen Verbffentltchung deraelben Kategorie 
A : technologlscher Hlntergrund 
O: nlchtschrlfttlcho Offenbarung 
P: Zwlschenllteratur 

T : der Erllndung zugiunde llegende Theorlen oder Grundsatze 



J.Y.H. 



E : al teres Patentdokument, das Jedoch erst am oder 
nach dem Anmeldedatum veroffentllcht worden 1st 
D : In der Anmeldung angefiihrtes Dokument 
L : aus anderen GrUnden angefiihrtes Dokument 



A : Mitglled der glelchen Patentfamllle, 
Qberelnstlmmendes Dokument 



